Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

“알약, 2019년 1분기 랜섬웨어 공격 총 32만여 건 차단” 이스트시큐리티 발표 

이스트시큐리티는 2019년 1분기 알약이 차단한 랜섬웨어 공격 통계를 발표했다. 이스트시큐리티가 발표한 1분기 랜섬웨어 차단 통계에 따르면, 3개월간 공개용 알약의 ‘랜섬웨어 행위 기반 사전 차단’ 기능을 통해 총 32만 506건의 랜섬웨어가 탐지되었고, 이는 일평균 3,561건의 랜섬웨어가 차단됐다.  또한 1분기 랜섬웨어 공격은 지난해 4분기 차단 통계에 비해 약 3.5% 소폭 감소한 것으로 나타났지만, 1분기가 2월로 인해 타 분기 대비 날짜 수가 적고 설 명절 연휴가 포함됐다는 점을 감안했을 때 공격 빈도는 비슷한 수준으로 유지되고 있다고 판단할 수 있다. 이번에 발표한 통계는 알약 공개용 제품의 ‘랜섬웨어 행위 기반 사전 차단’ 기능을 통해 탐지된 공격만을 집계한 결과이기 때문에, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많을 것으로 추정된다. 한편 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 1분기 주요 랜섬웨어 공격 동향으로 ‘갠드크랩(GandCrab) 랜섬웨어의 꾸준한 업데이트와 유포’를 꼽았다. ESRC에 따르면 갠드크랩 랜섬웨어는 구매자의 주문을 통해 특정 집단이 제작하고 갈취한 수익을 분배하는 서비스형 랜섬웨어(RaaS)로, 지난 2018년 1월에 처음으로 발견된 이후 버전 업데이트를 반복하며 지속적으로 유포돼 왔다. 또한 공격자는 랜섬웨어 감염률을 높이기 위한 목적으로, 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해 첨부 파일이나 URL을 열람하도록 유인하는 ‘사회 공학적 기법’을 주로 사용하고 있다. 이번 1분기 역시 ▲입사지원서 ▲지방 경찰서 출석통지서 ▲유명 쇼핑몰 할인쿠폰 ▲헌법재판소 소환장 ▲이미지 저작권 위반 등 랜섬웨어가 첨부된 다양한 내용의 악성 이메일이 발견되었다. 이 밖에도 1분기에는 기존 ‘비너스 락커(Venus Locker)’ 랜섬웨어 유포 조직이 한국 맞춤형 갠...

알약 랜섬웨어 이스트시큐리티 2019.04.10

랜섬웨어의 또 다른 용도, "해커들의 공격 흔적 덮기"

대부분의 랜섬웨어(ransomware)는 단순히 돈을 벌기 위해 사용된다. 그러나 공격자는 더 심각한 사고에 대한 증거를 없애기 위한 출구 전략의 일부로 사용할 수도 있다.    다크트레이스(Darktrace)에 따르면, 랜섬웨어 감염 건수는 2017년에서 2018년 사이 28% 줄었다. 이처럼 랜섬웨어 공격은 감소 추세지만 그 위협은 여전하다. 또한 운영 중단 이외의 다른 이유로도 위협이 되고 있는데, 치밀한 공격자들은 더 심각한 공격의 흔적을 가리기 위한 용도로 랜섬웨어를 사용한다. 랜섬웨어 공격을 받는 기업 입장에서는 비즈니스 중단 복구 비용 외에 걱정해야 할 부분이 더 늘었다. 공격이 단순히 돈을 갈취하는 데 있는지, 아니면 더 큰 피해를 입힐 다른 공격을 은폐하기 위한 것인지까지 확인해야 하기 때문이다. 그 답을 찾으려면 공격이 벌어진 이후 철저한 조사가 필요하다. 랜섬웨어가 흔적을 가리기 위한 용도로 사용되는 경우 보안 업계에 따르면, 더 심각한 사고의 단서를 지우기 위한 출구 전략으로 랜섬웨어가 사용되고 있다. 공격자들이 은밀히 진행되는 자신의 공격에 대한 주의를 흩뜨리기 위한 용도로 DDoS 공격을 사용하는 것과 마찬가지다. 일반적인 랜섬웨어와 같은 방식으로 진행되지만(보통 피싱 이메일로 악성 파일이 포함된 링크 또는 첨부 파일을 배포하는 방식) 목적은 포렌식 흔적을 삭제해 랜섬웨어 감염으로부터 복구한 후 추가 조사가 이뤄지지 않도록 하는 데 있다. 사이버리즌(Cybereason) CISO 이스라엘 버락은 "랜섬웨어의 일반적인 사용 사례는 사람들의 컴퓨터에 무차별적으로 랜섬웨어 공격을 감행한 다음, 이 가운데 성공한 공격에서 데이터 또는 서비스를 돌려주는 대가로 돈을 갈취하는 것이다. 또 다른 사용 사례는 흔적 덮기다. 이런 툴은 겉으로 보기에는 랜섬웨어다. 데이터를 암호화하고 몸값을 요구하며 랜섬 노트를 띄운다. 돈을 지불하는 방법을 구체적으로 알려주기까지 한다. 그러나 진짜 목적은 방어자가 단순히 무작위 랜...

가짜 랜섬웨어 2019.04.05

네트워크 가시성 확보로 랜섬웨어 방어 태세 갖춘 웨스트랜드시

지역 정부들은 최근 랜섬웨어 공격에 시달리고 있다. 콜로라도는 교통부가 샘샘(SamSam) 2018년 2월 랜섬웨어 공격을 받은 후 비상 사태를 선언하고 지원을 위해 주방위군의 사이버 팀을 호출했다. 2018년 3월, 애틀랜타시는 샘샘으로 인한 피해를 입고 이를 해결하는데 약 260만 달러의 비용을 지출했다(본래 요구한 대가는 52,000달러였음). 2019년 1월, 더블린의 루카스 전차 시스템의 웹사이트도 재물 강요 공격을 받았다. 미시간 주의 웨스트랜드시의 CIO(Chief Innovation Officer) 크레이그 브라운은 "다른 사람들과 마찬가지로 지방 정부에 대한 공격도 심각하다"라며, "현재 기술 부서 예산 부재로 인해 해커들이 지방 정부를 손쉬운 표적으로 여기고 있는 경향이 있는 것으로 보이며, 유감스러운 일이다"라고 말했다. 2018년 2월, 웨스트랜드는 랜섬웨어 공격을 받았으며, 시 정부는 피해가 그리 크지 않았음에도 불구하고 보안에 대한 생각을 바꾸어야 한다는 사실을 깨달았다.     작지만 강력한 IT팀 디트로이트에서 서쪽으로 16마일 떨어진 웨스트랜드에는 8만 4,000명이 거주하고 있다. 브라운은 2018년 10월 CIO로 임명되었으며 이전 5년 동안 시 정부의 여러 IT 역할을 담당했고, 그 전에는 미시간대학병원의 기술 부서에서 근무했었다. 브라운은 "CIO의 전통적인 역할과 함께 시 정부의 모든 부서에 기술을 통한 혁신을 제공하는 책임도 맡고 있다."고 브라운이 말했다. "우리는 업무 프로세스를 관리하며 더욱 향상되고 스마트하며 빠르고 비용 효율적으로 만들기 위해 노력하고 있다. 우리는 전기가 공급되는 모든 것을 관리하고 발전시킨다"고 그의 역할을 설명했다. 브라운과 5명으로 구성된 그의 팀은 시민 데이터 활성화, 제공, 보호와 함께 시 정부의 운영 신뢰성 확보를 담당하고 있다. 해당 팀의 소관에는 시 정보 웹사이트 및 소셜 미디어,...

네트워크 가시성 정부기관 2019.03.20

지금 ‘핫’한 사이버보안 트렌드 7가지와 열기가 식고 있는 트렌드 4가지

기술 산업은 역동적이고, 끊임없이 변화한다. IT 보안 산업에 종사하고 있다면, 악성 해커들이 개발한 기법 때문에 변화가 강요될 수도 있는 특이한 상황에 놓인다. 이 산업에는 항상 새로운 무엇이 등장하고, 반대로 유용도가 크게 떨어지는 기법과 도구들도 있다. 기술 보안 트렌드의 온갖 ‘하이프’ 가운데 진짜를 파악하기 정말 힘들 수 있다. 판매할 제품이 있는 회사들은 자신이 시장의 첨단을 걷고 있다고 설득하려 들기 때문이다. 우리는 진짜 ‘핫’한, 또는 열기가 식은 보안 트렌드를 파악하는 데 도움을 주기 위해, 비용부터 효과성까지 중요한 통계들을 조사해 이런 트렌드들을 선정했다.   11가지 ‘핫'한(그리고 핫하지 않은) 사이버보안 트렌드: 1. Hot - 크리덴셜 스터핑 2. Hot - 협업 앱 보안 3. Not - 랜섬웨어 4. Hot - 은행(금융) 트로이 목마 5. Hot - 사물 인터넷 6. Not - 인공 지능 7. Hot - 양자 암호화 8. Hot - 피싱 9. Not – 바이러스 백신(안티바이러스) 10. Hot - 다중 인증 11. Not - 블록체인   Hot - 크리덴셜 스터핑(Credential stuffing) 매년 대기업에서 수백만 개의 사용자 이름과 암호가 침해당하는 중대 해킹 사고가 연이어 발생한다. 이런 해킹 공격은 공격자가 훔친 수 많은 크리덴셜을 이용해 다양한 웹사이트에 자동 로그인 공격을 하는 이른바 크리덴셜 스터핑을 초래한다. 많은 사람들이 여러 사이트에서 동일한 사용자 이름과 암호를 사용하고 있는 데, 공격자가 이를 악용하는 것이다. 자동 공격이기 때문에 훔친 로그인 크리덴셜 가운데 아주 적은 비율만 일치해도 공격할 가치가 있다. 패스워드핑(PasswordPing)을 공동 창업한 크리스텐 란타 하이칼 윌슨 제품 관리 책임자 겸 CMO는 “사용자 크리덴셜을 더 안전하게 만들어야 한다. 기업과 기관은 로그인, 비밀번호 재...

트로이목마 블록체인 다중인증 2019.03.14

세계는 차세대 대규모 랜섬웨어 공격에 대비하고 있는가

초미의 사건이었던 워너크라이/낫페티야 랜섬웨어 공격은 많은 곳에서 다양한 규모의 기업에 영향을 끼쳤다. 둘 다 빠르게 확산되었으며 영국이나 미국의 국가기관, 글로벌 대기업의 시스템이 멈추기도 했다.  현재 이런 두 공격의 위협이 대부분 완화되긴 했지만 둘의 변종은 여전히 확산되고 있다. 새로운 보고서에 따르면, 같은 유형의 또 다른 세계적인 공격이 제대로 실행된다면 더 큰 피해를 입하고 기업들은 수십 억 달러의 비용을 지출하게 될 것이라고 한다. 세계적인 대규모 공격의 비용 워너크라이는 150여 개국에서 20만 개 이상의 컴퓨터를 감염시키고 패치되지 않은 버전의 마이크로소프트 윈도우를 통해 확산된 것으로 알려졌다. 낫페티야는 우크라이나의 인기있는 세무 애플리케이션의 해킹된 업데이트를 통해 확산됐으며 우크라이나와 기타 유럽 국가의 기업들에 영향을 끼쳤는데, 러시아가 해당 공격을 주도한 혐의를 받고 있다. 둘 다 NSA가 개발하고 SB(Shadow Brokers) 해커 그룹에 의해 공개된 이터널블루(Eternal Blue) 익스플로잇 공격을 이용해 SMB(Windows Server Manage Block) 프로토콜의 취약점을 이용했다. 워너크라이로 인해 영국의 NHS(National Health Service)는 약 9,150만 파운드(약 1,357억 원)를 지출한 것으로 정부 계산 결과 드러났다. 이 공격 자체로 인한 피해 금액은 1,900만 파운드(약 281억 원)였으며, 나머지 비용은 공격을 인지하고 시스템을 개선, 업그레이드하는 IT 지원 비용이었다. 공격자는 이 공격을 통해 얻은 실질적인 이익은 10만 달러(약 1억 1,000만 원)가 채 되지 않지만 사이버 위험 모델링 업체인 사이언스(Cyence)는 해당 공격의 총 비용이 40억 달러(약 4조 5,000억 원)에 이를 수 있는 것으로 추산했다. 낫페티야도 널리 확산되었고 많은 비용을 발생시켰다. 운송기업 머스크와 물류 기업 페덱스는 각각 약 3억 달러(약 3,385억 원)의 손실을 ...

랜섬웨어 워너크라이 낫페티야 2019.03.06

How To : 랜섬웨어로부터 백업을 보호하는 방법

최근 공격 횟수가 줄기는 했지만, 랜섬웨어는 여전히 기업에 큰 위협이 되고 있다. 이번 달, 몇몇 주요 신문을 표적으로 한 공격이 이를 증명한다. 또한 '공격력'이 강화되고 있다. 랜섬웨어를 개발하는 이들은 백업이 효과적인 방어 수단이기 때문에, 이를 추적해 없애는 악성코드를 만들 필요가 있다는 점을 인식하고 있다.   줄어들었지만 없어지지 않는 랜섬웨어 맥아피 보고서에 따르면, 올해 악성코드와 샘플이 모두 감소했다. 최신 보고서에 따르면, 2018년 3분기 랜섬웨어 샘플의 수는 가장 많았던 2017년 말(약 230만)의 절반이 되지 않는다. 카스퍼스키랩에 따르면, 지난해 사용자 가운데 파일을 암호화시키는 악성코드 공격을 받은 수는 76만 5,000명이었다. 반면 크립토마이너에 공격을 받은 사용자의 수는 500만이 넘는다. 비트디펜더(BitDefender) 위협 조사 책임자 보그단 보테자투는 랜섬웨어 공격이 감소한 것은 보안업체들의 랜섬웨어 방어 능력이 강화됐음을 의미한다고 말했다. 보테자투는 "항상 새로운 랜섬웨어, 더 복잡한 랜섬웨어, 탐지하기 더 힘든 랜섬웨어가 등장할 것이다. 그러나 랜섬웨어가 향후 더 큰 비중을 차지할 것으로 예상하지 않는다. 최소한 과거보다 커지지 않을 것이다"고 예상했다. 맬웨어바이츠(Malwarebytes) 악성코드 인텔리전스 책임자 아담 쿠자와는 "최근 몇 년간 가장 큰 위협 가운데 하나가 랜섬웨어였지만, 지금은 크게 감소했다"고 말했다. 하지만 랜섬웨어는 진화하고 있다. 예를 들어, 악성코드를 개발하는 이들은 NSA에서 유출된 것과 같은 최신 익스플로잇을 악용하고 있다.  쿠자와는 "이런 것들이 많은 악성코드군에서 발견되고 있다. 이런 익스플로잇을 사용해 시스템 1개를 감염시킨 후, 수평적으로 악성코드를 확산시킬 수 있다. 훨씬 더 큰 표적을 공격하는 것이다. 최근 이런 추세가 확인되고 있다"고 말했다. 백업을 표적으로 삼는 랜...

백업 랜섬웨어 2019.01.17

안랩, 정보탈취와 랜섬웨어 감염 유발하는 ‘비다르’ 악성코드 주의 당부

안랩(www.ahnlab.com)은 최근 웹사이트의 광고로 유포돼 사용자 정보를 탈취하고 감염 PC에 랜섬웨어를 실행하는 ‘비다르(Vidar)’ 악성코드 유포 사례를 발견해 사용자 주의를 당부했다. 비다르 악성코드 유포에는 멀버타이징(Malvertising) 기법이 이용됐다. 멀버타이징은 악성코드(Malware)와 광고(Advertising)의 합성어로, 정상 광고 서비스를 악용해 악성코드를 유포, 감염시키는 방법이다.  공격자는 불법 성인사이트, 토렌트 사이트 등 보안이 취약한 다양한 웹사이트에 악성 광고를 올린다. 사용자가 해당 악성 광고가 포함된 웹사이트에 접속하면 악성코드 제작 및 유포 도구인 ‘폴아웃 익스플로잇 킷(Fallout Exploit Kit)’으로 사용자의 접속 환경을 분석한다. 만약 사용자가 인터넷 익스플로러(IE) 브라우저의 취약점 보안 패치를 하지 않았다면, 해당 취약점을 악용해 비다르 악성코드를 설치하는 방식이다. 감염 이후 비다르 악성코드는 사용자 PC에서 사용하는 모든 종류의 웹 브라우저 프로그램을 탐색해 아이디, 비밀번호 등 웹사이트 계정 데이터를 수집한다. 또한 운영체제 정보, 네트워크 연결정보, 하드웨어 정보 등 사용자 PC의 시스템 정보를 공격자에게 전송한다. 비다르 악성코드는 사용자 정보 탈취를 완료하면 이어서 ‘갠드크랩(GandCrab)’ 랜섬웨어를 사용자 PC에 내려받아 실행시킨다. 랜섬웨어 감염 이후 사용자 PC 내 주요 파일(문서, 이미지 파일 등)들이 암호화되고 복호화에 대한 대가를 안내하는 문구가 나타난다. 피해를 예방하기 위해서는 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 애플리케이션, 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲보안이 확실하지 않은 웹사이트 방문 자제 ▲V3 등 백신 프로그램 최신 버전 유지 및 실시간 검사 실행 등 필수 보안 수칙을 실행해야 한다. 안랩 ASEC대...

안랩 랜섬웨어 2019.01.15

"해킹 방식을 혁신하다" 2018년 가장 흥미로운 사례 8가지

매년 새롭게 무언가를 시도하는 해커는 사실 극소수에 불과하다. 전체 도시의 인프라를 탈취하고 몇 초 만에 무슨 암호이든 크랙할 수 있는 '놀라운' 해커가 많다고 생각하겠지만 실제로 해커 대부분은 '평균적인' 지능을 가진 평균적인 사람이다. 즉 대부분은 새로운 것을 시도하지 않는다. 몇 년(심지어 몇십 년) 동안 '통했던' 방법을 반복할 뿐이다. 다른 이의 해킹 기법을 이용한 다른 사람의 툴을 사용하는 것이다. 그렇기 때문에 우리가 특히 관심과 주의를 기울여야 하는 것은 과거에는 불가능했던 해킹을 도와주는 '새롭고 혁신적인' 해킹 기법이다. 이런 측면에서 2018년 한 해 가장 '흥미로웠던' 해킹 사례를 정리했다. IoT 해킹 증가 오래 전부터 예상된 것처럼, 사물인터넷(IoT) 기기 해킹이 증가하고 있다. 생활과 업무 모두에 IoT 기기가 널리 사용되면서 개인과 기업 모두를 표적으로 해킹이 이뤄지고 있다. 심지어 안전을 위해 사용하는 기기가 역으로 해킹 툴로 악용되기도 한다. 2가지 대표적인 사례가 있다. 올해 미국 특검은 기소장에서 러시아 기업과 러시아인의 이름을 구체적으로 적시했는데 단순히 추측이 아니었다. 네덜란드 정보기관이 이 러시아 기업과 사람을 모니터링하는 비디오 카메라를 해킹해 밝혀낸 것이었다. 네덜란드 정보기관의 행위를 무조건 비난하는 것은 아니지만, 분명한 것은 민감한 활동이 일어나는 건물에 IP 연결 장치를 설치한 기업이나 사람에게 이는 '경고의 신호'라는 점이다. 최근 한 해커가 신생아의 부모가 아기를 지켜 보기 위해 설치한 네스트(NEST) 카메라를 해킹한 일이 있었다. 이 해커는 침실에서 자는 아이의 부모에게 자신이 아기를 납치했다고 거짓말을 해 기겁하게 했다. 몇 년 전부터 이런 식으로 가정용 IP 연결 기기에 대한 공격이 계속되고 있다. 가장 대표적인 것이 올해 고스트DNS(GhostDNS) 악성코드가 10만 개의 가정용 라우터를 탈취한 ...

보안 사물인터넷 랜섬웨어 2019.01.04

미국 메이저 신문 트리뷴, 랜섬웨어 "류크"에 당하다

미국 신문업체인 트리뷴(Tribune)의 자회사였던 트리뷴 퍼블리싱(Tribune Publishing)의 모든 신문이 류크(Ryuk) 랜섬웨어 공격에 당했다. 류크 랜섬웨어는 트리뷴 퍼블리싱의 신문뿐만 아니라 인쇄와 배달 체제에도 문제를 일으킨 것으로 파악된다.    류크 랜섬웨어는 지난해 12월 28일에 발견되어 격리됐다. 하지만 서버가 다시 온라인 상태가 됐을 때, 패치가 유지되지 않아 랜섬웨어가 네트워크를 재감염시켰고 뉴스 제작과 제조 프로세스에 사용되는 서버에 영향을 미쳤다. 트리뷴 대변인은 "악성코드가 신문을 발행하고 생산하는 데 주로 사용하는 일부 백 오피스 시스템에 영향을 미쳤다"고 말했다.  로스앤젤레스 타임즈(Los Angeles Times)는 이번 사이버공격이 미국 이외의 지역에서 시도된 것으로 보이지만 관계자들은 이번 행위가 외국이나 다른 단체에 의해 수행됐는지 여부를 따지기에는 너무 이르다고 말한 것을 전했다. 익명의 한 소식통은 "이번 공격은 정보를 훔치려는 의도와는 달리 인프라, 특히 많은 서버를 사용할 수 없게끔 만들었다"고 주장했다.   결과적으로 피해를 입은 신문 인쇄판 구독자는 토요일자 신문을 늦게 받았는데, 일부는 하루 이상 늦은 곳도 있다. 특히 유료 광고 없이 축소 발행된 토요일 신문에는 일요일 휴간 통지가 있었다. 이번 사이버공격에 영향을 받은 인쇄물은 시카고 트리뷴(Chicago Tribune), 볼티모어 썬(Baltimore Sun), 올랜도 센티널(Orlando Sentinel), 뉴욕 데일리 뉴스(New York Daily News), 레이크 카운티 뉴스-선(Lake County News-Sun), 포스트-트리뷴(Post-Tribune), 하트포드 쿠란트(Hartford Courant), 캐피탈 가제트(Capital Gazette), 모닝 콜(Morning Call), 데일리 프레스(Daily Press), 버지니안 파일럿(Virgi...

랜섬웨어 류크 Ryuk 2019.01.03

안랩, 웹사이트 광고로 유포되는 '선 랜섬웨어' 주의 당부

안랩(www.ahnlab.com)은 최근 웹사이트의 광고를 이용해 유포되는 ‘선(Seon) 랜섬웨어’를 발견해 사용자 주의를 당부했다. 공격자는 먼저 특정 웹사이트의 광고서버 취약점을 악용해 관리자 권한을 획득한 뒤, 사이트 내 광고에 악성 스크립트를 삽입했다. 사용자가 해당 웹사이트에 접속하면 광고에 삽입된 악성 스크립트가 자동으로 동작해, 악성코드 유포 도구인 ‘그린플래시 선다운 익스플로잇 킷’이 실행된다. ‘그린플래시 선다운 익스플로잇 킷’은 사용자 PC의 ‘어도비 플래시 플레이어’의 버전을 체크해 구 버전의 취약점이 확인되면 이를 악용해 랜섬웨어를 감염시킨다. 이번 랜섬웨어 감염사례는 국내의 특정 뉴스 사이트의 광고에서 발견되어, 공격자가 국내 사용자를 타깃으로 삼은 것으로 추정된다. ‘선 랜섬웨어’에 감염되면 사용자 파일이 암호화되며 파일 확장자가 .FIXT로 바뀐다. 암호화 이후에는 YOUR_FILES_ARE_ENCRYPTED.TXT라는 이름의 랜섬노트가 뜨고, 비트코인 등 암호화폐를 요구한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 이와 같은 랜섬웨어 피해를 줄이기 위해서는 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲OS 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 애플리케이션(어도비, 자바 등), 오피스 SW등 프로그램의 최신 보안 패치 적용 ▲최신 버전 백신 사용 ▲중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 준수해야 한다. 안랩 ASEC대응팀 박태환 팀장은 “이번 랜섬웨어는 향후 이력서나 정상 설치 파일로 위장하는 등 다양한 방법으로 계속 유포될 수 있어 사용자의 주의가 필요하다”고 말했다. editor@itworld.co.kr

안랩 랜섬웨어 2018.11.30

랜섬웨어, 허리케인에 이어 노스캐롤라이나 급수시설 타격

허리케인 플로렌스에 의해 타격을 받은 미국 노스캐롤라이나의 급수 시설이 또다시 랜섬웨어의 공격을 받았다. 온슬로 상하수도청(Onslow Water and Sewer Authority, ONWASA)은 지난 9월 허리케인 플로렌스가 휩쓸고 지나간 이후, 상처가 채 가시기도 전에 랜섬웨어 공격을 받았다. 노스캐롤라이나 잭슨빌에서 한 관계자는 범죄자와 협상하거나 요구에 굴복하지 않을 것이라고 말했다. 이번 랜섬웨어 공격은 그렇게 정교하게 시작된 것이 아니었다. ONWASA는 10월 4일 첨단 모듈식 뱅킹 트로이목마인 이모텟(Emotet)에 의한 공격을 받았다. US-CERT의 경고에 따르면, 이모텟은 주로 다른 뱅킹 트로이목마를 다운로드하거나 드롭하는 것이 주된 기능이다. ONWASA는 처음에 트로이목마를 제거했다고 믿었지만 이모텟 악성코드는 지속적으로 남아 있었던 것으로 판명났다. 1주일이 훌쩍 지난 10월 13일 오전 3시부터 3시 30분 사이에 이모텟은 표적화된 류크(Ryuk) 랜섬웨어를 드롭했다. ONWASA IT 직원은 시스템 자원을 보호하기 위해 인터넷에서 ONWASA를 분리하는 등의 즉각적인 조치를 취했지만 암호화 바이러스는 급속도로 네트워크를 따라 빠르게 확산되어 데이터베이스와 파일을 암호화했다. ONWASA는 자신들이 받은 공격을 애틀란타와 노스 캐롤라이나 주 메클랜부르크 카운티가 겪은 공격과 비교했다. ONWASA는 공격자로부터 이메일을 받은 후, "이 공격자는 외국에 기반을 두고 있을지도 모른다"며, "그러나 몸값 지불의 의도는 없었다"고 말했다. ONWASA는 다음과 같이 설명했다. - 몸값은 다른 국가에서 범죄 및 테러 활동의 자금을 제공하는데 사용된다. 게다가 대가 지불이 반복 공격을 방지한다는 보장이 없다. ONWASA는 범죄자와 협상을 하거나 그들의 요구에 굴복하지 않을 것이다. ONWASA는 데이터베이스와 컴퓨터 시스템을 처음부터 재구성하는 힘든 과정을 밟을 ...

허리케인 랜섬웨어 류크 2018.10.18

2018년 보안과 관련된 가장 중요한 "팩트"와 수치, 통계

보안 세계에서 지금 어떤 일이 일어나고 있는지 파악하고 이해할 확실한 정보와 통계를 찾고 있는가. 우리는 보안 세계에서 일어나고 있는 일과 동료 IT 전문가들이 여기에 대응하고 대처하는 방식 등 업계의 '지형'을 파악하기 위해 보안 업계를 대상으로 한 조사와 설문 조사, 연구 결과 등을 자세히 조사했다. Credit: Getty Images Bank  랜섬웨어는 감소, 크립토마이닝은 증가 2017년 한 해 가장 많이 언급된 악성코드 가운데 하나는 파일을 암호화시켜, 이를 해독하는 조건으로 비트코인 결제를 요구하는 랜섬웨어인 낫페트야(NotPetya)였다. 그러나 2017년 중반부터 이 악성코드 감염 사례가 줄어들기 시작해, 12월에는 전체 감염에서 차지하는 비중이 약 10%로 급감했다. 이유가 무엇일까. 공격자들이 식초보다는 꿀을 이용해야 더 많은 파리를 잡을 수 있다는 사실을 깨달었기 때문으로 판단된다. 랜섬웨어를 감염시켜 피해자에게 비트코인을 요구하는 대신 은밀하게 비트코인을 채굴하는 소프트웨어로 컴퓨터를 감염시키는 방법이 더 낫다는 것을 깨달았다는 의미다. 2018년 초, 원격 코드 실행 공격의 90%가 크립토마이닝과 관련이 있었다. 이메일은 여전히 문제 회사 동료들에게 오래 된 이메일 첨부파일을 클릭하지 말라는 메시지를 지겹도록 많이 발송하고 있는가. 유감스럽게도 앞으로도 계속 그래야 할 듯싶다. 버라이즌의 2018년 침해 조사(Breach Investigation) 보고서에 따르면, 이메일로 전달되는 악성코드 비율이 여전히 92%에 달하기 때문이다. 가장 흔한 이메일 악성코드 감염 방법 가운데 하나는 피싱 공격이며, 점차 더 표적화 되어 가고 있다. 보안 전문가들도 이를 인식하고 있다. 2018년 사이버아크 글로벌 첨단 위협 지형 보고서(CyberArk Global Advanced Threat Landscape Report)에 따르면, 직면한 가장 큰 보안 위협으로 표적화된 피싱 공격을 꼽은 비...

보안 랜섬웨어 낫페트야 2018.10.16

영국 브리스톨 공항, 랜섬웨어 공격으로 운항 정보 화면 중단

최근 영국 브리스톨 공항 항공편 운항 정보 화면에는 파란색 배경에 흰색으로 다음과 같은 안내문이 표시됐다. Credit: Getty Images Bank - 정비 중 - 불편을 끼쳐 죄송합니다. 공항 기술진이 현재 최대한 신속하게 문제를 해결하기 위해 작업 중입니다. 영국에서 9번째로 이용객이 많은 브리스톨 공항의 공식 관계자는 문제의 원인이 랜섬웨어라고 밝혔다. 이 공항은 평상시에 여행객들에게 전자 화면을 통해 안내 정보를 제공하는데, 최근 이 문제 해결을 위해 작업하는 동안 중단하기로 결정했다. 지난 주말 항공편 출발 및 도착 정보는 화이트보드에 게시되고 공용 스피커 시스템을 통해 방송됐다. 브리스톨 공항 측은 다음과 같은 트윗을 통해 항공편 정보 화면의 기술적인 문제라며 운항에는 지장이 없음을 강조했다. - 현재 항공편 정보 화면과 관련해 기술적인 문제가 발생했습니다. 항공편에는 지장이 없으며 체크인 데스크, 탑승구 및 출발/도착 시간은 공항 방송 장비를 통해 안내될 예정입니다. 탑승객을 지원하기 위한 추가 인원도 배치되었습니다. - 브리스톨 공항(@BristolAirport) 2018년 9월 14일 공항 대변인 제임스 고어는 공항을 공격한 구체적인 랜섬웨어 종류는 밝히지 않았지만 BBC와의 인터뷰에서 공항 측은 공격자가 시스템 복구 대가로 요구한 몸값을 지불하지 않을 것이라고 말했다. 관리 시스템을 목표로 삼은 온라인 공격 시도가 있는 것으로 보고 있습니다. 공항 측은 예방 조치로 운항 정보 화면에 데이터를 제공하는 애플리케이션을 포함한 일부 애플리케이션을 오프라인으로 내렸습니다. 이는 문제를 통제하고 더 중요한 시스템에 대한 추가 영향을 방지하기 위한 조치입니다. 브리스톨 공항의 사이버 공격 세부 정보 운항 정보 화면은 지난 금요일 아침부터 시작해 토요일을 거쳐 일요일 이른 새벽까지 가동되지 않았다. 고어는 IT 부서가 감염된 시스템을 복구하는 과정을 신중하게 진행함에 따라 다운타임이 길어졌...

랜섬웨어 브리스톨 공항 2018.09.21

스마일서브, 랜섬웨어 대응 백업 서비스 출시

스마일서브는 자사의 베어메탈 전문 서비스인 ‘클라우드브이(CLOUDV)’에서 랜섬웨어 대응 백업 서비스 출시 및 할인 이벤트를 실시한다고 밝혔다. 이번에 출시한 백업 서비스는 CDP 솔루션 백업과 만일에 상황에 대비할 수 있도록 격리백업을 추가 지원한다. 스마일서브 기획영업실 김기중 본부장은 “랜섬웨어 대비의 핵심은 백업”이라며, “협회의 랜섬웨어 대비 운영 지침에 따라 시점 복구를 위한 CDP 백업과 격리 백업을 함께 제공하기로 결정했다”고 말했다. 한편, 한국호스팅도메인협회에서는 지난해 램섬웨어 공격에 대응하기 위해 ‘주기적 보안 업데이트, 관리자 패스워드 관리 및 변경, 방화벽 설정, OTP(One Time Password) 등 별도 인증 방법 추가, VPN 사용 및 격리 백업 등’을 권고하는 ‘랜섬웨어 대비 운영 지침서’를 배포했다. 한국 랜섬웨어 침해대응센터의 ‘랜섬웨어 컨퍼런스’에서 기업을 노린 랜섬웨어 공격이 2016년 22.6%에서 2017년 26.2%로 3.6% 증가했다고 밝혔다. 2017년 새롭게 발견된 악성코드의 70%가 랜섬웨어이며, 공격받은 기업 가운데 65%는 데이터 전체 또는 상당량의 유실을 경험했다. editor@itworld.co.kr

랜섬웨어 스마일서브 2018.09.19

랜섬웨어 공격의 길목을 차단하는 킬체인 전략

사이버 위협은 큰 유행의 물결을 따라간다. 최근 유행의 중심은 랜섬웨어다. 2017년 워너크라이를 필두로 랜섬웨어 공포가 전 세계를 강타하면서 APT 공격의 뒤를 이어 유행을 선도하고 있다. 기업들은 부랴부랴 랜섬웨어 대응 방안 찾기에 나섰고 엔드포인트 보안 솔루션과 백업 등 데이터 보호 솔루션 각자의 시각과 기술로 ‘안전’을 보장했다. 이처럼 시장에 다양한 솔루션이 넘쳐났지만, 랜섬웨어 피해는 줄지 않았고 2018년 현재까지도 공포는 현재 진행형으로 이어지고 있다. 다른 것과 마찬가지로 랜섬웨어도 ‘완벽’ 보다는 ‘최선’을 추구해야 하는 과제다. 최근 주목 받는 접근법은 ‘킬체인 전략 기반의 대응’이다. APT가 극성을 부리면서 사이버 보안에 본격적으로 적용된 것이 바로 킬체인(Kill Chain) 접근이다. 개념은 간단하다. 여러 단계에 걸친 공격자의 위협을 공격 체인(Attack Chain)이라고 부르는데, 킬체인은 공격자가 밟아 나아가는 단계마다 맞춤형으로 대응하는 접근이다. 랜섬웨어 공격에 동원되는 도구, 기술, 절차가 세련되고 정교하게 발전함에 따라 기업 역시 킬체인이라는 더 효과적인 전략을 꺼내 들지 않을 수 없게 된 것이다. 시트릭스의 킬체인 정공법 기본 수칙만 잘 지켜도 어느 정도 랜섬웨어를 방어할 수 있지만, 그 과정이 쉽지만은 않다. 다음 요건 중 하나라도 부족하면 랜섬웨어에 대응해 안전을 보장하기 어렵다. - 중요 비즈니스 데이터가 안전하게 격리 및 보호된다 - 이메일 링크나 첨부 파일로 인한 감염을 사전에 탐지할 수 있다 - 모바일 장치로 인한 감염도 막을 수 있다 - 모든 시스템, 애플리케이션, 웹 브라우저를 늘 최신 업데이트 상태로 유지한다 랜섬웨어에 대응하는 시트릭스의 접근 방식에서 킬체인의 메커니즘을 살펴본다. 우선 킬체인을 정찰(Recon), 감염(Infect), 명령과 제어(C&C), 확장(Expan...

시트릭스 사이버공격 랜섬웨어 2018.07.27

“다 같은 바이러스가 아니다” 악성코드의 8가지 유형과 차이점

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 억제하여 제거할 수 있기 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이 간략한 악성코드 목록은 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다. 1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)를 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드이다. 해당 악성코드는 정상적인 프로그램에서 실행해야 하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 백신 프로그램도 이와 관련하여 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제이다. 악명 높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 역사에 한 획을...

바이러스 악성코드 트로이목마 2018.07.26

“준비 부족의 대가는 비싸다” 애틀랜타 시 랜섬웨어 복구에 140만 달러 투입

애틀랜타(Atlanta)는 3월 랜섬웨어 공격에 따른 피해를 복구하기 위해 최대 140만 달러의 예산을 투입할 준비를 했다고 발표했다. 지난 3월 애틀랜타를 강타한 샘샘(Samsam) 공격은 엄청난 혼란과 파괴를 가져왔다. 샘샘은 동명의 집단이 개발해 배포한 랜섬웨어이다. 애틀랜타는 이 랜섬웨어에 감염되는 바람에 허둥지둥 핵심 시스템을 복구해야 했다. 그 과정에 시스템을 정지할 수밖에 없었고, 그 결과 공과금 납부나 지방 법원 업무가 중단되는 등 공공 행정 서비스에 막대한 방해와 혼란이 초래됐다. 샘샘 공격이 발생하기 두 달 전, 애틀랜타 감사국(Atlanta Auditor's Office)은 위험 관리를 중심으로 시 정부의 보안 상태에 우려를 표시했다. 이 감사 보고서는 “관계자들은 시 정부가 정보 자산을 보호하기 위한 보안 관리 도구와 대책을 도입하고 있다고 말하지만, 리소스 부족 등을 이유로 ‘필요에 따라 그때그때’ 미봉책 수준에서 도입했거나, 증명이 되지 않은 프로세스가 많다. 리소스를 투입해 정보 관리 프로세스를 공식화하고 (문서화해)증명하면 ‘인증’을 준비하는 한편, (더 중요하게)정보 자산을 적절히 관리 및 보호할 수 있을 것이다”고 지적하고 있다. 이는 애틀랜타가 ISO 27001 아래 인증 요건을 충족할 준비가 되어있는지 확인하기 위해 실시된 감사 활동이었다. 애틀랜타는 인증 프로젝트를 시작한 후 보안 프로그램을 강화했지만, 감사 보고서 발행 시점에 몇 가지 중대한 문제가 존재하고 있었다. 애틀랜타 감사국에 따르면, 인증 감사를 통과하지 못하도록 만드는 ‘결점’과 ‘결함’들이 있었다. 정책이나 절차가 부재하거나 시대에 뒤떨어진 문제, ‘범위’가 일관되지 않은 문제, 위험을 식별 및 평가, 경감하는 공식 프로세스가 부재한 문제, 서드파티 서비스 공급자와 관련된 위험을 관리할 공식 프로세...

복구 애틀랜타 랜섬웨어 2018.04.30

이스트시큐리티, 알약으로 2018년 1분기 랜섬웨어 공격 33만 건 차단

이스트시큐리티는 2018년 1분기에 알약을 통해 총 33만 1,042건의 랜섬웨어 공격이 차단됐다고 밝혔다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’으로 차단된 공격수를 기준으로 집계했으며, ▲총 차단 수 33만 1,042건을 월간, 일간 기준으로 환산 시 ▲월평균 11만 347건 ▲일평균 3678건의 랜섬웨어 공격이 발생한 것으로 확인됐다. 특히, 이번 통계는 공개용 알약에서 랜섬웨어 행위기반 차단 공격수만을 집계했기 때문에, 패턴기반 공격까지 포함하면 전체 공격의 수는 더욱 많을 것으로 예상된다. 아울러 통계에서 알 수 있듯이 지난해 5월 전 세계를 강타한 워너크라이(WannaCry) 사태를 기점으로 폭증한 랜섬웨어 공격은 여전히 심각한 보안 위협으로 존재하고 있어, 기업, 기관 관계자는 물론 개인 사용자까지 각별한 주의가 필요하다고 업체 측은 설명했다. 이스트시큐리티 시큐리티대응센터(ESRC)는 2017년 4분기 비트코인, 이더리움 등 암호화폐(가상 화폐)의 가치가 전 세계적으로 폭등함에 따라, 암호화폐 채굴을 노린 코인마이너(CoinMiner) 악성코드 유포가 급증하며 랜섬웨어 유포 건수가 소폭 감소하는 추세를 보였다고 밝혔다. 하지만 2018년 1월 중순 이후 암호화폐 가치가 폭락하며 코인마이너 유포가 감소하고, 3월부터는 다시 랜섬웨어 유포 수가 증가하며 총 랜섬웨어 차단 건수가 지난 분기에 비해 약 14% 이상 증가했다고 덧붙였다. 올해 1분기 유포된 주요 랜섬웨어로는 ▲헤르메스(Hermes) ▲갠드크랩(GandCrab) ▲매그니버(Magniber) 등이 있다. 이스트시큐리티 김준섭 부사장은 “이번 통계에서 알 수 있듯이 랜섬웨어 공격 위협은 여전히 심각하며, 워너크라이 랜섬웨어 변종에 의한 피해가 꾸준히 발견되는 등 이미 패치가 이뤄진 취약점을 활용한 공격도 지속적으로 발생하고 있다”며, “랜섬웨어 감염 피해를 예방하기 위해서는 운...

랜섬웨어 이스트시큐리티 2018.04.24

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.